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Die Giesecke & Devrient GmbH in Munchen/Deutschland hat eine Patentanmel- 
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"Zugriffsgeschutzter Datentrager" 
am 18. Mai 1998 beim Deutschen Patent- und Markenamt eingereicht. 



Die angehefteten Stiicke sind eine richtige und genaue Wiedergabe der ursprung- 
lichen Unterlagen dieser Patentanmeldung. 



Die Anmeldung hat im Deutschen Patent- und Markenamt vorlaufig das Symbol 
G 06 K 19/073 der International Patentklassifikation erhalten. 
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Zugriffsgeschiitzter Datentrager 



5 Die Erfindung betrifft einen Datentrager, der einen Halbleiterchip aufweist, 
in dem geheime Daten abgespeichert sihd. Insbesondere betrifft die Erfin- 
dung eine Chipkarte. 

Datentrager die einen Chip enthalten, werden in einer Vielzahl von unter- 
10 schiedlichen Anwendungen eingesetzt, beispielsweise zum Durchftihren von 
I Finanztransaktionen, zum Bezahlen von Waren oder Dienstleistungen, oder 
als Identifikationsmittel zur Steuerung von Zugangs- oder Zutrittskontrol- 
len. Bei alien diesen Anwendungen werden innerhalb des Chips des Daten- 
tragers in der Regel geheime Daten verarbeitet, die vor dem Zugriff durch 
15 unberechtigte Dritte geschiitzt werden miissen. Dieser Schutz wird unter 

anderem dadurch gewahrleistet, dafi die inneren Strukturen des Chips sehr 
kleine Abmessungen aufweisen und daher ein Zugriff auf diese Strukturen 
mit dem Ziel, Daten, die in diesen Strukturen verarbeitet werden, auszuspa- 
hen, sehr schwierig ist. Um einen Zugriff weiter zu erschweren, kann der 
20 Chip in eine sehr fest haftende Masse eingebettet werden, bei deren gewalt- 
| samer Entfernung das Halbleiterplattchen zerstort wird oder zumindest die 
darin gespeicherten geheimen Daten vernichtet werden. Ebenso ist es auch 
moglich, das Halbleiterplattchen bereits bei dessen Herstellung mit einer 
Schutzschicht zu versehen, die nicht ohne Zerstorung des Halbleiterplatt- 
25 chens entf ernt werden kann. 

Mit einer entsprechenden technischen Ausriistung, die zwar extrem teuer 
aber dennoch prinzipiell verfugbar ist, konnte es einem Angreif er mogli- 
cherweise gelingen, die innere Struktur des Chips freizulegen und zu unter- 
30 suchen. Das Freilegen konnte beispielsweise durch spezielle Atzverfahren 
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oder durch einen geeigneten Abschleifprozefi erfolgen. Die so freigelegten 
Strukturen des Chips, wie beispielsweise Leiterbahnen, konnten mit Mikro- 
sonden kontaktiert oder mit anderen Verfahren untersucht werden, urn die 
Signalverlaufe in diesen Strukturen zu ermitteln. Anschliefiend konnte ver- 
5 sucht werden, aus den detektierten Signalen geheime Daten des Datentra- 
gers, wie z.B. geheime Schlussel zu ermitteln, um diese fur Manipulations- 
zwecke einzusetzen. Ebenso konnte versucht werden, iiber die Mikrosonden 
die Signalverlaufe in den freigelegten Strukturen gezielt zu beeinflussen. 

0 Der Erfindung liegt die Aufgabe zugrunde, geheime Daten, die in dem Chip 
eines Datentragers vorhanden sind, vor unberechtigtem Zugriff zu schutzen. 

Diese Aufgabe wird durch die Merkmalskombination des Anspruchs 1 ge- 
lost. 

15 

Bei der erfindungsgemafien Losung werden im Gegensatz zum Stand der 
Technik keine Mafinahmen getroffen, um ein Freilegen der internen Struktu- 
ren des Chips und ein Anbringen von Mikrosonden zu verhindern. Es wer- 
den stattdessen MaJSnahmen getroffen, die es einem potientellen Angreifer 
0 erschweren, aus den gegebenenfalls abgehorten Signalverlaufen Riickschlus- 
se auf geheime Informationen zu schliefien. Die Signalverlaufe hangen von 
den Operationen ab, die der Chip gerade ausfuhrt. Wenn diese Operationen 
immer nach demselben starren Schema ausgeftihrt werden, d.h. insbesonde- 
re immer in derselben Reihenf olge und der Angreifer diese Reihenfolge 
25 kennt, mufi ein Angreifer weit weniger Schwierigkeiten uberwinden, um 
Daten auszuspahen als wenn er noch nicht einmal weifi, welche Operation 
zu welchem Zeitpunkt gerade abgearbeitet wird. Es ist daher gemafi der Er- 
findxmg vorgesehen, bei der Abarbeitung von sicherheitsrelevanten Opera- 
tionen innerhalb der Chipkarte sich moglichst weit von einem starren Ab- 



• • • 



• • • 



-3- 



lauf schema zu entf ernen und dem Angreifer dadurch moglichst keine An- 
satzpunkte fur eine Analyse der geheimen Daten zu bieten. Dies wird da- 
durch erreicht, dafi moglichst viele, im Idealfall sogar alle Operationen, die 
insof ern voneinander unabhangig sind, dafi jede der Operationen keine Da- 
5 ten benotigt, die von den anderen Operationen ermittelt werden, in einer 
variablen, beispielsweise zufallsbedingten oder von Eingangsdaten abhangi- 
gen Reihenf olge abgearbeitet werden. Dadurch wird erreicht, dafi ein An- 
greifer, der sich in der Regel an der Reihenfolge der Operationen orientieren 
wird, nicht ohne weiteres herausfinden kann, welche Operation gerade ab- 

10 gearbeitet wird. Dies gilt in besonderem Mafie dann, wenn sich die Opera- 
tionen beziiglich des von ihnen bei gleichen Eingangsdaten hervorgeruf enen 
Signalverlaufs sehr stark ahneln oder sogar gleich sind. Wenn dem Angreifer 
aber nicht einmal die Art der Operation bekannt ist, die gerade abgearbeitet 
wird, ist es extrem schwierig, gezielt Daten auszuspahen. Wenn die Gefahr 

15 besteht, dafi ein Angreifer sehr viele Ausspahversuche unternehmen wird, 

um die zufallsbedingte Variation der Reihenfolge herauszumitteln, empfiehlt 
es sich, die Variation von den Eingangsdaten abhangig zu machen. 

Die Erfindung wird nachstehend anhand der in den Figuren dargestellten 
0 Ausftihrungsformen erlautert. Es zeigen: 

Fig. 1 eine Chipkarte in Aufsicht, 

Fig. 2 einen stark vergrofierten Ausschnitt des Chips der in Fig. 1 dargestel- 
25 len Chipkarte in Aufsicht und 



Fig. 3 



eine schematische Darstellung der Abfolge bei der Abarbeitung eini- 
ger Operationen dirrch die Chipkarte. 



In Fig. 1 ist als ein Beispiel fiir den Datentrager eine Chipkarte 1 dargestellt. 
Die Chipkarte 1 setzt sich aus einem Kartenkorper 2 und einem Chipmodul 3 
zusammen, das in eine dafiir vorgesehene Aussparung des Kartenkdrpers 2 
eingelassen ist. Wesentliche Bestandteile des Ghipmoduls 3 sind-Kontaktfla- 
chen 4, xiber die eine elektrische Verbindung zu einem externen Gerat herge- 
stellt werden kann und ein Chip 5, der mit den Kontaktflachen 4 elektrisch 
verbunden ist. Alternativ oder zusatzlich zu den Kontaktflachen 4 kann auch 
eine in Fig. 1 nicht dargestellte Spule oder ein anderes Ubertragungmittel 
zur Herstellung einer Kommunikationsverbindung zwischen dem Chip 5 
und einem extemen Gerat vorhanden sein. 

In Fig. 2 ist ein stark vergrofierter Ausschnitt des Chips 5 aus Fig. 1 in Auf- 
sicht dargestellt. Das besondere der Fig. 2 liegt darin, dajg die aktive Oberfla- 
che des Chips 5 dargestellt ist, d.h. samtliche Schichten, die im allgemeinen- 
die aktive Schicht des Chips 5 schiitzen, sind in Fig. 2 nicht dargestellt. Um 
Informationen iiber die Signalverlaufe im Inneren des Chips zu erhalten, 
konnen beispielsweise die freigelegten Strukturen 6 mit Mikrosonden kon- 
taktiert werden. Bei den Mikrosonden handelt es sich um sehr diinne Na- 
deln, die mittels einer Prazisions-Positioniereinrichtung mit den freigelegten 
Strukturen 6, beispielsweise Leiterbahnen in elektrischen Kontakt gebracht 
werden. Die mit den Mikrosonden auf genommenen Signalverlaufe werden 
mit geeigneten Mefi- und Auswerteeinrichtungen weiterverarbeitet mit dem 
Ziel, Ruckschliisse auf geheime Daten des Chips schliefien zu konnen. 

Mit der Erfindung wird erreicht dafi ein Angreif er auch dann, wenn es ihm 
gelungen sein sollte, die Schutzschicht des Chips 5 ohne Zerstorung des 
Schaltkreises zu entfernen und die freigelegten Strukturen 6 des Chips 5 mit 
Mikrosonden zu kontaktieren oder auf andere Weise abzuhoren nur sehr 
schwer oder gar nicht Zugang zu insbesondere geheimen Daten des Chips 
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erlangt. Selbstverstandlich greift die Erfindung auch dann, wenn ein Angrei- 
fer auf andere Art und Weise Zugang zu den Signalverlaufen des Chips 5 
erlangt. 

5 Fig. 3 zeigt eine schematische Darstellung der Abfolge bei der Abarbeitung 
einiger Operationen durch die Chipkarte. In Fig. 3 ist insbesondere darge- 
stellt, welche Operationen von der Chipkarte 1 zwingend sequentiell abge- 
arbeitet werden miissen, da sie voneinander abhangen und welche Opera- 
tionen im Prinzip parallel und damit auch in einer beliebigen Reihenf olge 

10 abgearbeitet werden konnen. Hierzu ist in Fig. 3 ein Ausschnitt aus einem 
Programmdurchlauf der Chipkarte 1 dargestellt, in dem Daten abc verarbei- 
tet werden. Alle zwingend sequentiell abzuarbeitenden Operationen sind in 
Fig. 3 sequentiell aufeinanderfolgend dargestellt. Alle Operationen bei denen 
es nicht auf die Reihenfolge der Abarbeitung untereinander ankommt, sind 

15 parallel zueinander angeordnet. 

Die Bearbeitung der Daten abc beginnt mit einer Operation PI, die in Form 
eines Blockes 7 dargestellt ist. An dem Block schliefit sich sequentiell ein 
Block 8 an, der die Operation P2 reprasentiert. Aus Fig. 3 ergibt sich somit, 
0 dafi die Bearbeitungsreihenfolge der Operationen PI und P2 nicht vertauscht 
werden kann, d.h. zwingend fest ist. Nach Block 8 verzweigt sich das in Fig. 
3 dargestellte Schema zu funf Blocken 9, 10, 11, 12, 13, die die Operationen 
P3, P4, P5, P6 und P7 reprasentieren. Daraus ergibt sich, dafi die Blocke P3, 
P4, P5, P6 und P7 gleichzeitig abgearbeitet werden konnen und somit auch 
25 in einer beliebigen Reihenfolge abgearbeitet werden konnen. Erfindungsge- 
mafi wird die Reihenfolge der Abarbeitung dieser Operationen P3, P4, P5, 
P6, P7 bei jedem Durchlauf variiert, d.h. es ist fur einen Angreifer nicht ab- 
sehbar, welche dieser Operationen sich an die Operation P2 anschliefit, wel- 
che Operationen wiederurn danach durchgefiihrt wird usw. Die Variation 



der Reihenfolge kann entweder nach einem fest vorgegebenen Schema oder 
besser noch zufallsbedingt oder abhangig von Eingangsdaten erfolgen, in- 
dem mittels einer Zuf allszahl bzw. durch die Eingangsdaten jeweils festge- 
legt wird, welche der Operationen-P3, P4, P5, P6 und P7 als nachste abgear- 
beitet wird. Durch diese gegebenenf alls zuf allsbedingte Variation der Abar- 
beitung der einzelnen Operationen wird ein Ausspahen der mit den Opera- 
tionen verarbeiteten Daten erschwert. Wenn alle Operationen P3, P4, P5, P6 
und P7 abgearbeitet sind, schliefit sich zwingend die Operation P8 an, deren 
Bearbeitungsreihenf olge nicht variabel ist. Die Operation P8 ist durch den 
Block 14 dargestellt. Auf die Operation P8 konnen weitere, und zwar sowohl 
in der Reihenfolge variable als auch in der Reihenfolge feste Operationen 
f olgen, die allerdings in der Fig. 3 nicht mehr dargestellt sind. 

Die Erfindung kann beispielsweise im Rahmen der Abarbeitung von Ver- 
schlxisselungsalgorithmen eingesetzt werden, die haufig ahnliche Operatio- 
nen enthalten, deren Bearbeitungsreihenfolge variierbar ist. Die Bearbei- 
tungsreihenfolge kann dabei entweder jeweils vor der ersten variierbaren 
Operation gemeinsam fur alle mit dieser ersten Operation vertauschbaren 
Operationen festgelegt werden oder es kann auch vor jeder variierbaren 
Operation aus der Menge der noch verbleibenden variierbaren Operationen 
die nachste zu bearbeitende Operation bestimmt werden. In beiden Fallen 
konnen zur Festlegung der Bearbeitungsreihenfolge Zufallszahlen herange- 
zogen werden. 
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Patentanspruche 



1. Datentrager mit einem Halbleiterchip (5), der wenigstens einen Speicher 
aufweist, in dem ein Betriebsprogramm abgelegt ist, mit dem eine Vielzahl 
von Operationen ausgeftihrt werden kann, wobei fur wenigstens eine Un- 
termenge dieser Operationen gilt, dafi das bei Ausfuhrung mehrerer Opera- 
tionen der Untermenge erzielte Gesamtergebnis nicht von der Reihenfolge 
der Ausfuhrung der Operationen abhangt, dadurch gekennzeichnet, dafi die 
Reihenfolge der Ausfiihrung der genannten Untermenge von Operationen 
wenigstens dann variiert wird, wenn die Untermenge einen oder mehrere 
sicherheitsrelevante Operationen enthalt. 

2. Datentrager nach Anspruch 1, dadurch gekennzeichnet, dafi die Reihen- 
folge der Ausfuhrung bei jedem Durchlauf durch die genannte Untermenge 
der Operationen variiert wird. 



20 3. Datentrager nach einem der vorhergehenden Ansprtiche, dadurch ge- 
kennzeichnet, dafi die Reihenfolge der Ausfuhrung nach einem fest vorge- 
gebenen Prinzip variiert wird. 



4. Datentrager nach einem der Anpruche 1 bis 3, dadurch gekennzeichnet, 
25 dafi die Reihenfolge der Ausfuhrung zufallsbedingt variiert wird. 

5. Datentrager nach einem der Anspriiche 1 bis 3, dadurch gekennzeichnet, 
dafi die Reihenfolge der Ausfuhrung abhangig von den mit den Operationen 
verarbeiteten Daten variiert wird. 



30 



6. Datentrager nach einem der vorhergehenden Anspriiche, dadurch ge- 
kennzeichnet, dalS die Reihenfolge der Ausfiihrung jeweils vor der Ausfiih- 
rung der ersten Operation der Untermenge fur alle Operationen der Unter- 
menge f estgelegt wird, deren Ausfiihrung un mittelbar aufei nanderfolgend 
vorgesehen ist. 

7. Datentrager nach einem der vorhergehenden Anspriiche, dadurch ge- 
kennzeichnet, dafi jeweils vor Beginn der Ausfiihrung einer Operation der 
Untermenge festgelegt wird, welche der Operationen der Untermenge, de- 
ren Ausfiihrung aufeinanderfolgend vorgesehen ist, als nachste ausgefiihrt 
wird. 

8. Datentrager nach einem der vorhergehenden Anspriiche, dadurch ge- 
kennzeichnet, dai3 es sich bei dem Datentrager um eine Chipkarte handelt. 
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Zusammenfassung 



5 Die Erfindung betrifft einen Datentrager (1), der einen Halbleiterchip (5) 

aufweist. Um zu verhindem/dafi ein "aus abgehorten ^Signalverlau- 

fen des Chips (5) geheime Daten des Chips (5) ermittelt, werden zumindest 
bei sicherheitsrelevanten Operationen moglichst viele Einzeloperationen, bei 
deren Ausfiihrung es nicht auf die Reihenfolge ankommt, in einer variablen 
10 Reihenfolge ausgefiihrt. Die Reihenfolge der Ausfiihrung kann dabei fest 

vorgegeben sein, nach dem Zuf allsprinzip variiert werden oder von den mit 
den Operationen verarbeiteten Daten abhangen. 



(Fig. 1) 
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